Безопасность в вашем собственном приложении

Question

Мое приложение работает в домене example.com , но я получаю некоторые данные из домена api.example.com .

Пример:

1. Пользователь хочет добавить новую статью.
2. example.com отправить запрос на api.example.com/add

Вопрос:

Я хотел бы знать, какую защиту я должен использовать для проверки пользователя? OAuth? Или я должен отправить пароль пользователя через POST? Спасибо.

Answer 1

Если вы передаете информацию на свой собственный веб-сайт и с него, а затем используете сеансы для хранения пользовательских данных, вам не нужен OAuth (он предназначен для проверки пользователей между различными веб-сайтами без запроса пароля на стороне третьего лица).

Answer 2

если ваш api.example.com предназначен для использования другими сайтами, у вас должна быть система аутентификации на api.example.com (http basic + ssl, http digest, oauth и т. Д.), Которая используется в качестве примера .com.

example.com не должен управлять пользователем (создание, аутентификация и т. Д.), А только ретранслировать на api.example (возможно, использовать сеанс для хранения учетных данных пользователя api.example.com). но example.com должен управлять пользовательскими настройками, если эти настройки относятся только к example.com